Systems Manager 的 Security Hub 控制項 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Systems Manager 的 Security Hub 控制項

這些 AWS Security Hub 控制項會評估 AWS Systems Manager (SSM) 服務和資源。

這些控制項可能完全無法使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性

【SSM.1】 Amazon EC2執行個體應該由 管理 AWS Systems Manager

相關要求:PCIDSSv3.2.1/2.4、 NIST.800-53.r5 CA-9(1)、 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-15(2)、 NIST.800-53.r5 SA-15(8) NIST.800-53.r5 SA-3、NIST.800-53.r5 SI-2(3)

類別:識別 > 清查

嚴重性:

評估的資源: AWS::EC2::Instance

必要的 AWS Config 錄製資源:AWS::EC2::InstanceAWS::SSM::ManagedInstanceInventory

AWS Config 規則:ec2-instance-managed-by-systems-manager

排程類型:已觸發變更

參數:

此控制項會檢查您帳戶中已停止和執行的EC2執行個體是否由 管理 AWS Systems Manager。Systems Manager 是 AWS 服務 ,可用來檢視和控制您的 AWS 基礎設施。

為了協助您維護安全性和合規性,Systems Manager 會掃描已停止和執行的受管執行個體。受管執行個體是設定為與 Systems Manager 搭配使用的機器。Systems Manager 接著會針對偵測到的任何政策違規進行報告或採取修正動作。Systems Manager 也可協助您設定和維護受管執行個體。

若要進一步了解,請參閱 AWS Systems Manager 使用者指南

修補

若要使用 Systems Manager 管理EC2執行個體,請參閱AWS Systems Manager 《 使用者指南》中的 Amazon EC2 主機管理。在組態選項區段中,您可以保留預設選項,或視需要變更這些選項,以用於偏好的組態。

【SSM.2】 Systems Manager 管理的 Amazon EC2執行個體在修補程式安裝COMPLIANT後應具有 的修補程式合規狀態

相關要求:NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2、NIST.800-53.r5 SI-2(2)、NIST.800-53.r5 SI-2(3)、NIST.800-53.r5 SI-2(4)、NIST.800-53.r5 SI-2(5)、PCIDSSv3.2.1/6.2、PCIDSSv4.0.1/2.2.1、PCIDSSv4.0.1/6.3.3

類別:偵測 > 偵測服務

嚴重性:

資源類型: AWS::SSM::PatchCompliance

AWS Config 規則:ec2-managedinstance-patch-compliance-status-check

排程類型:已觸發變更

參數:

此控制項會檢查 Systems Manager 修補程式合規的合規狀態,是否在執行個體上安裝修補程式COMPLIANTNON_COMPLIANT之後。如果合規狀態為 ,則控制項會失敗NON_COMPLIANT。控制項只會檢查由 Systems Manager Patch Manager 管理的執行個體。

根據需要修補您的EC2執行個體可減少您 的攻擊面 AWS 帳戶。

修補

Systems Manager 建議使用修補程式政策來設定受管執行個體的修補。您也可以使用 Systems Manager 文件來修補執行個體,如下列程序所述。

修補不相容的修補程式
  1. 在 開啟 AWS Systems Manager 主控台https://console.aws.amazon.com/systems-manager/

  2. 針對節點管理,選擇執行命令,然後選擇執行命令

  3. 選擇 AWS-RunPatchBaseline 的選項。

  4. Operation (操作) 變更為 Install (安裝)

  5. 選擇手動選擇執行個體,然後選擇不合規的執行個體。

  6. 選擇執行

  7. 命令完成後,若要監控修補執行個體的新合規狀態,請在導覽窗格中選擇合規

【SSM.3】 由 Systems Manager 管理的 Amazon EC2執行個體的關聯合規狀態應為 COMPLIANT

相關要求: NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2、NIST.800-53.r5 CM-2(2)、NIST.800-53.r5 CM-8、NIST.800-53.r5 CM-8(1)、NIST.800-53.r5 CM-8(3)、NIST.800-53.r5 SI-2(3)、PCIDSSv3.2.1/2.4、PCIDSSv4.0.1/2.2.1、PCIDSSv4.0.1/6.3.3

類別:偵測 > 偵測服務

嚴重性:

資源類型: AWS::SSM::AssociationCompliance

AWS Config 規則:ec2-managedinstance-association-compliance-status-check

排程類型:已觸發變更

參數:

此控制項會檢查 AWS Systems Manager 關聯合規的狀態是 COMPLIANT 還是在執行個體上執行關聯NON_COMPLIANT之後。如果關聯合規狀態為 ,則控制項會失敗NON_COMPLIANT

State Manager 關聯是指派給受管執行個體的組態。該組態會定義您想在執行個體上維持的狀態。例如,關聯可以指定必須在您的執行個體上安裝和執行防毒軟體,或必須關閉特定連接埠。

建立一或多個狀態管理員關聯後,您便可立即取得合規狀態資訊。您可以在 主控台中檢視合規狀態,或回應 AWS CLI 命令或對應的 Systems Manager API動作。對於關聯,Configuration Compliance 會顯示合規狀態 (CompliantNon-compliant)。它也會顯示指派給關聯的嚴重性層級,例如 CriticalMedium

若要進一步了解 State Manager 關聯合規,請參閱AWS Systems Manager 《 使用者指南》中的關於 State Manager 關聯合規

修補

失敗的關聯可以與不同物件相關,包括目標和 Systems Manager 文件名稱。若要修復此問題,您必須先檢視關聯歷史記錄來識別和調查關聯。如需檢視關聯歷史記錄的說明,請參閱AWS Systems Manager 《 使用者指南》中的檢視關聯歷史記錄

調查之後,您可以編輯關聯以修正已識別的問題。您可以編輯關聯來指定新的名稱、排程、嚴重性層級或目標。編輯關聯之後, 會 AWS Systems Manager 建立新的版本。如需編輯關聯的指示,請參閱AWS Systems Manager 《 使用者指南》中的編輯和建立新版本的關聯

【SSM.4】 SSM 文件不應公開

相關要求: NIST.800-53.r5 AC-21、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-4、、 NIST.800-53.r5 AC-4(21) NIST.800-53.r5 AC-6、 NIST.800-53.r5 SC-7、 NIST.800-53.r5 SC-7(11)、 NIST.800-53.r5 SC-7(16)、 NIST.800-53.r5 SC-7(20)、 NIST.800-53.r5 SC-7(21)、 NIST.800-53.r5 SC-7(3)、 NIST.800-53.r5 SC-7(4)、 NIST.800-53.r5 SC-7(9)

類別:保護 > 安全網路組態 > 資源不可公開存取

嚴重性:嚴重

資源類型: AWS::SSM::Document

AWS Config 規則:ssm-document-not-public

排程類型:定期

參數:

此控制項會檢查帳戶擁有 AWS Systems Manager 的文件是否為公有文件。如果擁有擁有者的 Systems Manager 文件Self是公開的,則此控制會失敗。

Systems Manager 文件若為公有,可能會允許意外存取您的文件。公有 Systems Manager 文件可以公開有關您的帳戶、資源和內部程序的寶貴資訊。

除非您的使用案例需要公開共用,否則建議您封鎖由 擁有之 Systems Manager 文件的公開共用設定Self

修補

若要封鎖 Systems Manager 文件的公開共用,請參閱AWS Systems Manager 《 使用者指南》中的封鎖SSM文件的公開共用